Kann man gesniffte Pakete abändern und wieder versenden?

...komplette Frage anzeigen

3 Antworten

Das funktioniert nicht. Zunächst einmal: Per Wireshark mitgeschnüffelte Pakete lassen sich mit speziellen Programmen bearbeiten. Nach meinem Überblick sind diese Programme nicht frei verfügbar und nicht ganz billig. Ich habe so etwas bei einem Kollegen gesehen.

Wireshark oder ein solches Hilfsprogramm ist nicht ohne Vorbereitung in der Lage, ein HTTPS-Paket zu entschlüsseln. Wenn man ein solches Paket entschlüsseln will, muss man im Vorfeld den SSL-Handshake mit aufzeichnen und bestimmte Daten per Umgebungsvariable in eine Datei exportieren.

Für jede SSL/TLS-Session werden individuelle Schlüssel generiert. Ein Paket von gestern kann man also nicht so einfach in eine TLS-Session von heute einschleusen. Man muss das Paket von gestern entschlüsseln und mit den Schlüsseln der aktuellen Session neu verschlüsseln.

Dann spuckt einem noch TCP in die Suppe. Denn da gibt es auch noch Sequence und Acknowledgement Numbers, die zur aktuellen Session passen müssen. Die Werte von gestern passen heute sicher nicht.

Du siehst: Das, was Du vorhast, funktioniert nicht so einfach. Und ich habe den Eindruck, dass Dir der nötige Überblick über die ablaufenden Mechanismen fehlt.

Antwort bewerten Vielen Dank für Deine Bewertung

Das, was du suchst, ist ein MITM-Proxy, und das, was du vorhast ist eine Replay-Attacke. Beides völlig legal, solange es sich um deine eigenen Daten handelt. :)

Antwort bewerten Vielen Dank für Deine Bewertung

Deine Pakete oder die von jemand anderem? Du fragst hier böse Sachen nach.

aber zum Glück dürfte es schon daran scheitern, das eine neue https-Session neue Schlüssel generiert. Wäre sonst ja auch zu einfach.

Antwort bewerten Vielen Dank für Deine Bewertung

Was möchtest Du wissen?